关于SQL注入，师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET，做新闻发布系统的时候，又遇到了，这次不能放过了~~

定义

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．——百度百科

实验

系统中增加新闻类别SQL语句：

insert intocategoryinfo(name)values (‘" + caName + "‘)

当我们在界面输入：娱乐八卦,点击增加新闻类别时

娱乐八卦将替换" + caName + "而执行。

于是，当我们在文本框中输入：

娱乐新闻‘)delete categoryinfo where id=13--

这段替换了" + caName + "会形成:

insert into categoryinfo(name)values (‘娱乐新闻‘)delete categoryinfo where id=4--‘)";

相当于:

insert into categoryinfo(name)values (‘娱乐新闻‘);

delete categoryinfo where id=4--‘)";

于是执行后前后对比效果为：

前:                            后：

这就是SQL注入的一种效果。通过这种方法，将我们的数据库进行了破坏。通过SQL注入，是黑客得到数据库内部信息的一种方法，为了咱们系统的安全性，我们需要做好防护。

如何避免：

对于上面的这种SQL注入，有效的方法就是：用传参进行SQL语句，不用拼接字符串。

传字符串语句：

 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters .Add(new SqlParameter ("@caName","SQL注入成功"));

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

改为传参：

 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters.Add(new SqlParameter("@caName", "'娱乐新闻')delete categoryinfo where id=4--"));//SQL注入失败

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

这只是一种避免方法。

那平时我们需要做哪些防护呢：

1.限制用户非正确格式输入。

2.对特殊字符进行转换。即“’”在SQL语句运行时，已不再是“‘”，可能是一个数字，这样就不会再对SQL语句造成混乱。

3.报错时，尽可能减少信息量。最好将错误信息进行包装。因为专业人可以根据报的黄页分析出库里有哪些表等信息......

4.将重要信息进行加密。以免轻易泄露。

5.不用拼接字符串...

......

这是我所能想到的一些特别基础的预防方法~肯定还有更高级的手段。这还需要我们继续探索！